3 vulnerabilitats crítiques en webs petites (i com evitar-les sense ser un expert)

Un estudi de Verizon del 2024 indica que el 82% dels incidents de seguretat en empreses petites involucren credencials robades, errors humans o atacs a aplicacions web bàsiques —no tècniques d'hacking avançat. La bona notícia per a les pimes catalanes és que protegir-se de la gran majoria d'atacs reals no requereix un equip de seguretat especialitzat: requereix implementar uns 10 controls bàsics de manera consistent.

Les 3 vulnerabilitats que veiem més sovint en webs de pimes

La primera és tenir plugins i dependències desactualitzades. En WordPress, el 97% dels webs infectats ho han estat per plugins o temes desactualitzats, no per vulnerabilitats del core de WordPress. Cada plugin no actualitzat és una porta potencial oberta. La solució és simple: activa les actualitzacions automàtiques per a plugins i temes, o fes una revisió setmanal manual.

La segona és usar contrasenyes febles o compartides. El 2024, les contrasenyes més usades continuen sent '123456', 'password' i variacions del nom de l'empresa. Per a un panell d'administració WordPress, qualsevol atacant pot provar milers de combinacions per segon amb eines automatitzades (atac de força bruta). La solució és usar un gestor de contrasenyes (Bitwarden, 1Password) per a totes les credencials i activar l'autenticació de dos factors (2FA) al panell d'administració.

• Actualitzacions automàtiques: activa-les per a WordPress core, plugins i temes. Si no vols l'automatisme complet (pot trencar coses), programa una revisió setmanal i actualitza al moment que apareguin pegats de seguretat.
• Contrasenyes fortes i úniques: usa un gestor de contrasenyes. Cada servei ha de tenir una contrasenya diferent i aleatòria de mínim 16 caràcters. Una contrasenya reutilitzada compromesa en un lloc exposa tots els altres.
• 2FA en tots els panells d'administració: WordPress (plugin Two Factor), cPanel, Cloudflare, Google Search Console, el teu proveïdor de hosting. El 2FA elimina pràcticament el risc de comprometiment per contrasenya robada.
• Backups fora del servidor: fes còpies de seguretat diàries automàtiques (UpdraftPlus per a WordPress) i emmagatzema-les en un servei extern (Google Drive, Amazon S3, Dropbox). Si el servidor es compromet, els backups al mateix servidor no serviran.
• Permisos correctes de fitxers: els fitxers de WordPress han de tenir permisos 644 i els directoris 755. Permisos massa permissius (777) permeten que qualsevol script executi codi al servidor. El teu hosting pot revisar-ho.
• Formularis amb protecció anti-abús: tots els formularis web (contacte, login, comentaris) han de tenir algun sistema anti-spam i anti-força-bruta. Cloudflare Turnstile (gratuït i sense fricció per a l'usuari) és la millor opció actual.
• Headers de seguretat bàsics: afegeix al teu servidor o via Cloudflare els headers X-Frame-Options, X-Content-Type-Options, i Strict-Transport-Security. Molts hosting panels ho configuren en un clic.
• Monitoratge mínim de logs: configura alertes d'email per a intents de login fallits repetits (WordPress: plugin WP Cerber o Wordfence). Si detectes 100 intents de login des d'una IP en 10 minuts, és un atac de força bruta actiu.

Per on començar si no saps l'estat actual de seguretat del teu web

Si no saps per on começar, executa una auditoria bàsica en menys d'una hora. Primer, revisa tots els plugins i temes de WordPress i actualitza els que estiguin desactualitzats. Segon, comprova la puntuació de security headers del teu web a securityheaders.com —és gratuït i et dona un informe detallat en 30 segons. Tercer, verifica que el teu web té HTTPS actiu i que el certificat SSL no caduca en els propers 30 dies.

Per a una auditoria més completa, usa l'eina gratuïta de Sucuri SiteCheck (sitecheck.sucuri.net) que escaneja el teu web en busca de malware, codi injectat i problemes de seguretat coneguts. Si et surt alguna alerta vermella, és el moment de buscar ajuda professional.

Amb higiene bàsica i revisió mensual, reduïm una gran part del risc real. La seguretat no és un projecte —és un hàbit.